Комментарии по основным вопросам, связанным с договорами об облачных вычислениях (подготовлено секретариатом Комиссии Организации Объединенных Наций по праву международной торговли, 2019 год)
Часть первая. Основные аспекты
до заключения договора
A. ОПРЕДЕЛЕНИЕ ПРИМЕНИМОГО
ЗАКОНОДАТЕЛЬСТВА И ДРУГИХ ТРЕБОВАНИЙ
Нормативно-правовая база, применимая к клиенту, поставщику или к обоим, может определять условия заключения договора об облачных вычислениях. Такие условия могут также вытекать из договорных обязательств, включая лицензии на использование прав интеллектуальной собственности (ИС). Стороны должны быть, в частности, осведомлены о законодательстве и нормативных актах по таким вопросам, как персональные данные, защита потребителей, кибербезопасность, экспортный контроль, таможенные процедуры, налоги, коммерческая тайна, нормативные акты по вопросам ИС и отраслевые нормы, которые могут быть применимы по отношению к ним и их будущему договору. Несоблюдение обязательных требований может иметь серьезные негативные последствия, включая недействительность или неисполнимость договора или его части, административные штрафы и уголовную ответственность.
Условия заключения договора об облачных вычислениях могут различаться в зависимости от сектора и юрисдикционной системы. Они могут включать требования в отношении принятия специальных мер для защиты прав субъектов данных, развертывания конкретной модели (например, частного, а не публичного облака), шифрования данных, размещаемых в облаке, и регистрации сделки или программного обеспечения, используемого при обработке персональных данных, в государственных органах. Они могут включать также требования в отношении локализации данных, а также требования, касающиеся поставщика.
Локализация данных
Требования в отношении локализации данных могут вытекать, в частности, из законодательства, применимого к персональным данным, к данным бухгалтерского учета, а также данным публичного сектора, и из законодательства и нормативно-правовых актов об экспортном контроле, которые могут ограничивать передачу тех или иных видов информации или программного обеспечения в определенные страны или регион или же из таких стран или региона. Соблюдение требований в отношении локализации данных, установленных в применимом законодательстве, будет иметь первостепенное значение для сторон. Положения договора не могут отменять такие требования.
Требования в отношении локализации данных могут быть также обусловлены договорными обязательствами (например, лицензиями на использование ИС, которые требуют хранения лицензированного контента на собственных защищенных серверах пользователя). Локализация данных может быть предпочтительным вариантом по чисто практическим соображениям, например, в целях сокращения времени ожидания, что может иметь особое значение для операций в режиме реального времени, например для биржевых операций. (Далее о договорных гарантиях в отношении локализации данных.)
Выбор партнера по договору
Выбор партнера по договору может быть ограничен не только вследствие рыночных факторов, но также в силу требований действующего законодательства. Закон может запрещать заключение договора об облачных вычислениях с иностранными лицами, лицами из определенных юрисдикционных систем или лицами, которые не прошли аккредитацию/сертификацию в соответствующих государственных органах.
Могут существовать требования в отношении создания иностранным лицом совместного предприятия с национальным субъектом или получения местных лицензий или разрешений, включая разрешения, обусловленные экспортным контролем, для предоставления услуг облачных вычислений в рамках конкретной юрисдикционной системы. Выбор партнера по договору может также зависеть от требований в отношении локализации данных (см. выше), а также предусмотренных законом обязательств любой из сторон, касающихся раскрытия данных и другого контента и предоставления к ним доступа официальным властям иностранного государства.
B. ОЦЕНКА РИСКОВ ДО ЗАКЛЮЧЕНИЯ ДОГОВОРА
Императивные нормы применимого законодательства могут предусматривать проведение оценки рисков в качестве предварительного условия заключения договора об облачных вычислениях. Даже в отсутствие установленных законом требований стороны могут принять решение о проведении оценки рисков, которая может помочь им определить стратегии снижения рисков, включая согласование соответствующих договорных положений.
Не все риски, вытекающие из договоров об облачных вычислениях, характерны исключительно для облачных технологий. Некоторые из них могут возникать вне сферы действия договора об облачных вычислениях (например, риски, связанные с нарушением онлайновой связи), и не все риски можно преодолеть с приемлемыми издержками (например, ущерб репутации). Кроме того, оценка рисков не является разовым мероприятием, предшествующим заключению договора. Оценка рисков должна быть процессом, который будет происходить постоянно на протяжении всего срока действия договора и результаты которого могут потребовать внесения в договор поправок или его прекращения.
Проверка информации о конкретной услуге облачных
вычислений и о выбранном партнере по договору
При рассмотрении сторонами вопроса об использовании конкретной услуги облачных вычислений и выборе партнера по договору важной для них может быть следующая информация:
a) лицензии на использование прав ИС, необходимые для использования конкретной услуги облачных вычислений;
b) действующая политика в области обеспечения неприкосновенности, конфиденциальности и защиты данных, в частности в отношении предупреждения несанкционированного доступа, использования, изменения или уничтожения данных при их обработке, транзите или передаче с использованием инфраструктуры облачных вычислений;
c) действующие меры по обеспечению постоянного доступа к метаданным, контрольным записям и другим журналам, свидетельствующим о принятии мер по обеспечению безопасности;
d) наличие плана восстановления в случае аварий и обязательств по уведомлению в случае нарушения безопасности или сбоя в работе
системы;
e) действующая политика в отношении оказания помощи при миграции в облако и окончании обслуживания, а также функциональной совместимости и возможности переноса данных;
f) принимаемые меры для проверки и обучения работников, субподрядчиков и других третьих сторон, участвующих в предоставлении услуг облачных вычислений;
g) статистические данные по инцидентам, связанным с нарушением безопасности, и информация о реализованных в прошлом процедурах восстановления в случае аварий;
h) сертификация независимой третьей стороной на предмет соблюдения технических стандартов;
i) информация о регулярности и масштабах проверок, проводимых
независимым органом;
j) финансовая жизнеспособность;
k) политика в области страхования;
l) возможная коллизия интересов;
m) степень использования субподряда и многоуровневых услуг облачных вычислений;
n) степень изоляции данных и другого контента в инфраструктуре облачных вычислений; и
o) ожидаемые взаимные функции и солидарная ответственность
сторон за меры безопасности.
Риски нарушения прав ИС
Риски нарушения прав ИС могут возникать, например, в тех случаях, когда поставщик не является владельцем или разработчиком ресурса, который он предоставляет своим клиентам, а выступает в качестве его пользователя по соглашению о лицензии на использование ИС с третьей стороной. Риски нарушения прав ИС могут также возникать, если для осуществления договора клиент обязан предоставить поставщику лицензию на использование контента, который этот клиент намерен разместить в облаке. В некоторых юрисдикционных системах хранение контента в облаке — даже в целях создания резервной копии — может квалифицироваться как воспроизведение и потребовать предварительного разрешения на это со стороны обладателя прав ИС.
Обе стороны заинтересованы в том, чтобы удостовериться до заключения договора, что использование услуг облачных вычислений не будет являться нарушением прав ИС и основанием для отзыва лицензий на использование ИС, выданных той или иной стороне. Издержки, связанные с нарушением прав ИС, могут оказаться весьма высокими. Возможно потребуется получить право на сублицензию или же заключить прямое соглашение о лицензировании с соответствующей третьей стороной-лицензиаром, в соответствии с которым будет предоставлено право на использование лицензий третьих сторон. Использование программного обеспечения или другого контента с открытыми исходными кодами может потребовать получения предварительного согласия от третьих сторон, а также раскрытия исходного кода с любыми изменениями, внесенными в программное обеспечение или другой контент с открытыми исходными кодами.
Риски в плане безопасности, целостности, конфиденциальности и неприкосновенности данных
Миграция всех или части данных в облако приводит к утрате клиентом исключительного контроля над этими данными и возможности принимать необходимые меры для гарантирования целостности и конфиденциальности данных или проверки того, осуществляется ли обработка и хранение данных надлежащим образом. Степень утраты контроля будет зависеть от вида услуг облачных вычислений.
Такие особенности услуг облачных вычислений, как широкий сетевой доступ, коллективная аренда и объединение ресурсов, могут потребовать от сторон принятия дополнительных мер предосторожности для предотвращения перехвата сообщений и других кибератак, которые могут привести к утрате или повреждению регистрационных данных для доступа к услугам облачных вычислений, потере данных и другим нарушениям безопасности. Надлежащая изоляция ресурсов и разделение данных, а также надежные процедуры обеспечения безопасности имеют особенно важное значение в такой общей среде, как облачные вычисления. В условиях облачных вычислений стороны будут нести солидарную ответственность за принятие мер безопасности независимо от вида используемых услуг. Оценка рисков до заключения договора дает сторонам возможность устранить любую неясность в определении их функций и обязанностей, связанных с обеспечением безопасности, целостности, конфиденциальности и неприкосновенности данных. Договорные положения будут играть важную роль в отражении договоренности сторон относительно распределения между ними рисков и ответственности в связи с этими и другими аспектами предоставления услуг облачных вычислений (Читать далее по этой теме). Эти положения не могут иметь преимущественную силу по сравнению с императивными положениями законодательства.
Тесты на проникновение, проверки и посещение объектов
На этапе, предшествующем заключению договора, можно предпринять шаги для проверки адекватности изоляции ресурсов, разделения данных, процедур идентификации и других мер безопасности. Они должны быть направлены на определение возможных дополнительных мер предосторожности, которые могут потребоваться сторонам для предотвращения нарушений безопасности данных и других сбоев при предоставлении клиенту услуг облачных вычислений.
Законодательство и нормативные акты могут предусматривать проведение проверок, тестов на проникновение и физических инспекций центров данных, участвующих в предоставлении услуг облачных вычислений, в частности для установления того, отвечает ли их местонахождение предусмотренным законом требованиям в отношении локализации данных (см. выше). Сторонам необходимо будет договориться об условиях проведения таких мероприятий, включая время их проведения, распределение расходов и предоставление возмещения за любой возможный ущерб, причиненный в результате этих мероприятий.
Риски обособленности
Одним из наиболее важных соображений для сторон может быть избежание или снижение рисков обособленности, часто возникающих из-за отсутствия функциональной совместимости и возможности переноса данных. Более высокие риски обособленности могут возникать в случае долгосрочных договоров и автоматически возобновляемых краткосрочных и среднесрочных договоров.
Риски обособленности прикладных программ и данных особенно высоки в случае ОкУ и ПкУ. Данные могут существовать в форматах, которые используются в одной облачной системе и не могут использоваться в других системах. Кроме того, использование патентованной прикладной программы или системы для организации данных может потребовать корректировки условий лицензирования для обеспечения возможности работать в другой сети. Возможно, потребуется переписать программы для взаимодействия с интерфейсами прикладных программ (ППИ), с тем чтобы учесть ППИ новой системы. Высокие затраты при переходе на другую систему могут быть также обусловлены необходимостью переподготовки конечных пользователей.
В случае ПкУ также может существовать потребность в синхронизации среды исполнения, поскольку рабочие программы (т.е. программное обеспечение, предназначенное для поддержки работы компьютерных программ, написанных на определенном языке программирования) часто носят сугубо индивидуальный характер (например, в таких аспектах, как выделение или освобождение памяти, отладка программ и т.д.). В случае ИкУ обособленность зависит от конкретных потребляемых инфраструктурных услуг. Как и в случае ПкУ, некоторые инфраструктурные услуги также могут привести к обособленности прикладных программ, если конкретная услуга зависит от специфических основных функций (например, контроль доступа). Некоторые инфраструктурные услуги могут также привести к обособленности данных, если для хранения в облако переносится все больше данных.
На этапе, предшествующем заключению договора, могут быть проведены тесты для проверки возможности экспортировать в другую систему и использовать там данные и другой контент. Может потребоваться синхронизация облачной платформы с платформой собственной системы и создание копии данных в другом месте. Заключение сделок с несколькими сторонами и сочетание различных видов услуг облачных вычислений и их моделей развертывания (т.е. диверсификация поставщиков) хотя и могут быть сопряжены с дополнительными расходами и другими последствиями, но могут стать важными элементами стратегии, направленной на смягчение рисков обособленности. Смягчению таких рисков могут также способствовать положения договора. (Читать далее по этой теме.)
Риски прерывания деятельности
У сторон могут вызывать озабоченность риски прерывания деятельности не только в преддверии запланированного окончания действия договора, но и в связи с его возможным односторонним приостановлением или досрочным прекращением, включая случаи, когда одна из сторон может прекратить коммерческую деятельность. Законодательство может содержать требование о заблаговременной разработке соответствующей стратегии для обеспечения непрерывности деятельности, в частности в целях недопущения негативных последствий прекращения или приостановления предоставления услуг облачных вычислений для конечных пользователей. Смягчению рисков прерывания деятельности также могут способствовать договорные положения. (Читать далее по этой теме.)
Стратегии выхода
Для успешного осуществления стратегий выхода сторонам, возможно, необходимо будет с самого начала уточнить: a) какой контент будет подлежать выводу (например, только данные, размещенные клиентом в облаке, или также производные данные услуг облачных вычислений); b) какие поправки потребуется внести в лицензии на использование ИС, с тем чтобы этот контент можно было использовать в другой системе; c) порядок осуществления контроля за ключами шифрования и предоставления доступа к ним; и d) срок, необходимый для завершения выхода. Договоренность сторон по этим вопросам обычно находит отражение в положениях договора, касающихся окончания обслуживания. (Читать далее по этой теме.)
C. ДРУГИЕ ВОПРОСЫ, ВОЗНИКАЮЩИЕ
ДО ЗАКЛЮЧЕНИЯ ДОГОВОРА
Раскрытие информации
Применимое законодательство может обязывать стороны договора предоставить друг другу информацию, которая позволит им принять продуманное решение в отношении заключения договора. Непредоставление информации или предоставление другой стороне недостаточно четкой информации, которая необходима для того, чтобы определить или позволить определить объект обязательства до заключения договора, может лишить договор или его часть юридической силы или же дать потерпевшей стороне право требовать возмещения ущерба.
В некоторых юрисдикционных системах информация, предоставляемая до заключения договора, может рассматриваться в качестве неотъемлемой части договора. В таких случаях сторонам необходимо обеспечить, чтобы эта информация была надлежащим образом зафиксирована и чтобы не возникало несоответствия между такой информацией и самим договором. Сторонам необходимо также решить проблемы, связанные с последствиями раскрытия информации до заключения договора для применения гибкого и инновационного подхода на этапе его исполнения.
Конфиденциальность
Часть информации, раскрываемой до заключения договора, можно считать конфиденциальной, в частности в том, что касается мер безопасности, идентификации и аутентификации, субподрядчиков и местонахождения и типа центров данных (которая в свою очередь позволяет определить тип хранимых в них данных и доступ к ним местных или иностранных государственных органов). Сторонам, возможно, необходимо будет договориться о том, что определенная информация, раскрываемая до заключения договора, будет считаться конфиденциальной. Третьим сторонам, участвующим в обеспечении надлежащей осмотрительности на этапе до заключения договора (например, аудиторам), возможно, также необходимо будет подписать обязательства о соблюдении конфиденциальности или соглашения о неразглашении информации.
Миграция в облако
Перед миграцией в облако клиенту обычно необходимо определить степень конфиденциальности данных, подготовленных к миграции воблак о, и обеспечить их защиту с учетом степени их чувствительности и важности, а также сообщить поставщику об уровне защиты, необходимой для каждого вида данных. Клиенту, возможно, потребуется также направить поставщику другую информацию, необходимую для предоставления услуг (например, графики хранения и утилизации данных клиента, механизмы идентификации пользователей и управления доступом и, при необходимости, процедуры доступа к ключам шифрования).
Помимо переноса данных и другого контента в облако поставщика миграция в облако может быть связана с установкой, конфигурацией, шифрованием, тестированием, а также подготовкой персонала клиента и других конечных пользователей. Эти аспекты могут быть частью договора клиента с поставщиком или стать предметом отдельного соглашения клиента с поставщиком или третьими лицами, такими как партнеры по предоставлению услуг облачных вычислений. Это может быть сопряжено с дополнительными затратами. Сторонам, участвующим в процессе миграции, обычно необходимо согласовать распределение функций и обязанностей в ходе этого процесса, условия своего участия, формат, в котором данные или другой контент будут переноситься в облако, время проведения миграции, процедуры акцептирования для подтверждения выполнения миграции в согласованном порядке и другие элементы плана миграции.